Zaczynają obowiązywać unijne przepisy Data Act. Czego dotyczą? To tzw. Akt w sprawie danych, czyli rozporządzenie UE, które ma stworzyć dla danych jednolity rynek i uregulować zasady wykorzystywania danych wysyłanych przez urządzenia podłączone do internetu (IoT – Internet of Things). Akt ma wzmocnić pozycję konsumentów i małych firm, a także zwiększyć konkurencję i promować innowacje. Są też zapisy pozwalające na dostęp do danych instytucjom państwa, jeżeli pojawi się sytuacja kryzysowa, a o taką w tej chwili nie jest trudno.
Wyobraźcie sobie, iż dane z auta, zegarka czy jakiegoś urządzenia w firmie nie są już „własnością” producenta, tylko są realnym zasobem, którym możecie dysponować. Albo iż zmiana dostawcy chmury nie kończy się rachunkiem za „wyjście” i tygodniami męczących przepychanek. Albo iż w umowie z większym partnerem odpadają klauzule typu „bierz albo do widzenia”, bo można od dzisiaj je podważyć jako nieuczciwe.
To właśnie ma dowieźć Akt w sprawie danych (Data Act). Sama nazwa nie jest może zachęcająca, ale przekłada się na bardzo konkretne prawa i obowiązki użytkowników sprzętu, ale też firm i administracji. Oczywiście są też wątpliwości. O co dokładnie chodzi? Jak będą funkcjonowały nowe przepisy?
Twoje urządzenie, Twoje dane, Twoja sprawa. Data Act w praktyce
Data Act wychodzi od prostej zasady: kto używa produktu połączonego (IoT), ten ma prawo do danych, które współtworzy. Masz podłączony samochód, smartwatch, inteligentny termostat, pralkę z aplikacją, a w firmie – roboty czy maszyny? Od 12 września 2025 r. powinieneś łatwo i bezpłatnie dostać wgląd w te dane (np. temperatury, ciśnienia, prędkości, zużycia), a producent lub dostawca usługi musi z góry powiedzieć jakie dane zbiera i jak często.
Jeśli chcesz, możesz te dane przekazać wybranej firmie trzeciej — serwisowi, ubezpieczycielowi, aplikacji, która lepiej analizuje koszty energii. Dzięki temu rynek usług „wokół urządzeń” powinien być tańszy i bardziej konkurencyjny, a jako użytkownik nie jesteś uwiązany do jednego ekosystemu.
Są też bezpieczniki. Z danych nie można zbudować konkurencyjnego sprzętu, aby nie zniechęcać do innowacji, ale wolno tworzyć usługi dodatkowe. Dane osobowe przez cały czas chroni RODO: jeżeli dotyczą innych osób, potrzebna jest ważna podstawa prawna (np. zgoda). Nie ma przymusu udostępniania danych firmom spoza UE, a gdy w grę wchodzą tajemnice przedsiębiorstwa albo bezpieczeństwo produktu, dostęp może być ograniczony – z możliwością odwołania do krajowego organu. W dużym skrócie, co to powinno oznaczać dla Ciebie jako użytkownika? Większy wybór, niższe koszty serwisu i kontrola nad informacją.
Druga sprawa to relacje B2B. Ustawa porządkuje sytuacje, w których firma musi udostępnić dane innej firmie (na mocy prawa UE/krajowego). Ma być sprawiedliwie, rozsądnie i bez dyskryminacji, a właściciel danych może oczekiwać uzasadnionej rekompensaty pokrywającej koszty udostępnienia. Mikro i małe firmy oraz organizacje badawcze są tu dodatkowo chronione — opłaty wobec nich nie mogą przekroczyć poniesionych kosztów.
Jest też tarcza na wypadek kontraktów pisanych przez „silniejszego”. Jednostronnie narzucone klauzule „take-it-or-leave-it” dotyczące danych mogą zostać uznane za nieuczciwe, a wtedy po prostu wypadają z umowy. Ustawa podaje przykłady zapisów zawsze niedozwolonych (np. próba wyłączenia odpowiedzialności za rażące niedbalstwo) oraz takich, które są domyślnie podejrzane i wymagają uzasadnienia. Jak to ma wyglądać w praktyce? Mniej kontraktowej samowolki, koszty bardziej przewidywalne, łatwiejsza rozmowa z większym partnerem. A jeżeli chcesz dane pozyskać – bardziej przejrzysta ścieżka „co, kiedy i na jakich warunkach”.
Czytaj też: Ty też masz w kieszeni potężne narzędzie naukowe! telefon w dłoń i… zostajesz naukowcem!
Data Act: państwo a Twoje dane. Tylko w wyjątkowej potrzebie?
Data Act dopuszcza sytuacje, w których administracja może poprosić firmy o dane — ale wyłącznie w jasno określonych „wyjątkowych potrzebach”. Chodzi o zdarzenia nieprzewidywalne i ograniczone w czasie: klęski żywiołowe, katastrofy, pandemie, poważne cyberincydenty, albo projekty w interesie publicznym (np. optymalizacja ruchu na podstawie danych nieosobowych). Wnioski mają być konkretne, proporcjonalne, przejrzyste, z ochroną tajemnic przedsiębiorstwa, a dane powinny zostać usunięte, gdy przestają być potrzebne. Poza sytuacjami nagłymi administracja co do zasady żąda danych nieosobowych.
Jest też zasada „one-time only”: jeden organ nie może po te same dane przychodzić wielokrotnie – żądania mają być rejestrowane przez krajowego koordynatora danych. W skrócie, jeżeli jesteś firmą – relatywnie jasne reguły gry i mniejsze ryzyko „niespodziewanych” wezwań. jeżeli jesteś obywatelem – więcej dowodów i mniej uznaniowości w decyzjach administracji.
Kolejny filar Data Act dotyczy chmury i przetwarzania danych. Ustawa ułatwia zmianę dostawcy: firmy chmurowe mają udostępniać otwarte interfejsy, eksport danych w powszechnych, maszynowo czytelnych formatach i zapewniać, by po migracji zachować „funkcjonalną równoważność”. Mają też usuwać przeszkody w korzystaniu z wielu usług naraz (multi-cloud). I najważniejszy konkret: do 12 stycznia 2027 r. znikają opłaty za wyjście i wyprowadzanie danych. W praktyce oznacza to lepszą pozycję negocjacyjną klientów.
By dane naprawdę pracowały, muszą dać się łączyć. Data Act wprowadza wymogi interoperacyjności dla uczestników europejskich przestrzeni danych i dostawców chmurowych: opisy struktur i formatów danych mają być dostępne, a umowy o udostępnianiu danych mogą opierać się o inteligentne kontrakty spełniające określone warunki odporności. jeżeli zabraknie standardów, Komisja może zlecić ich wypracowanie albo przyjąć wspólne specyfikacje.
Czytaj też: UE stworzy wielomiliardowy fundusz dla scale-upów
Kto tego pilnuje i jak się przygotować?
Każde państwo wyznaczy właściwy organ do nadzoru oraz – jeżeli potrzeba – koordynatora danych jako krajowy punkt kontaktu. Będzie też publiczny rejestr tych instytucji. Przewidziano możliwość certyfikowanych organów rozstrzygania sporów, żeby spory o warunki udostępniania danych dało się zamykać szybko i tanio, zwłaszcza dla MŚP. Na jesień 2025 r. Komisja ma zarekomendować wzorcowe warunki umowne: dla udostępniania danych (B2C/B2B) i dla chmury – gotowe „szyny”, po których łatwiej będzie jechać.
Na chwilę obecną warto zrobić trzy rzeczy. Jako użytkownik: sprawdź, jakie dane generują Twoje urządzenia i jak możesz je pozyskiwać lub przekazywać usługodawcom, którym ufasz. Jako firma: przejrzyj umowy sprzedaży, najmu i serwisu pod kątem praw do danych i przygotuj prosty proces obsługi wniosków o dostęp. Jako klient chmury: zinwentaryzuj dane, ustaw zaplanuj ewentualny eksport i pomyśl, jak w Twoim przypadku można wykorzystać zniesienie opłat wyjściowych.
Czytaj też: Nowe rynki dla YouTuberów? Dubbing dostępny dla wszystkich
Data Act okiem sceptyka: co może pójść nie tak?
Z perspektywy sceptyka Data Act wygląda jak świetny plan, który łatwo może rozbić się o praktykę. Użytkownik IoT ma „prosty” i „nieodpłatny” dostęp do danych oraz może przekazać je wybranej firmie – ale to producenci i dostawcy aplikacji opisują, jakie dane zbierają, w jakiej formie je wydadzą i kiedy mogą wstrzymać dostęp (tajemnica przedsiębiorstwa, bezpieczeństwo produktu).
Spory? Teoretycznie rozwiążesz je u krajowego organu albo w certyfikowanym sądzie polubownym, o ile państwo taki organ w ogóle powoła. Innymi słowy: prawo daje narzędzia, których nie było wcześniej, ale możliwe, iż w rozliczeniu końcowym to Ty będziesz musiał udowadniać rację i przechodzić krajową ścieżkę odwoławczą.
Podobnie w B2B: mają być „sprawiedliwe, rozsądne i niedyskryminujące” warunki dostępu do danych oraz „uzasadniona rekompensata” dla ich posiadacza. Brzmi dobrze, ale diabeł tkwi w słowie „uzasadniona” i w testach „nieuczciwości” klauzul narzuconych. Lista warunków może okazać się niewyczerpująca, a domniemanie nieuczciwości teoretycznie można obalić – czyli znowu spór i ewentualne koszty po stronie słabszego.
Administracja ma prawo sięgać po dane w „wyjątkowej potrzebie” (od katastrof po projekty w interesie publicznym), przy rygorach proporcjonalności i usuwania danych, ale granice tych pojęć wyznaczy praktyka. Do tego każdy kraj sam wybierze organ nadzoru i koordynatora – jest więc ryzyko, że zamiast jednego rynku danych dostaniemy mozaikę interpretacji i procedur.
Chmura? Migracja ma być łatwiejsza, interfejsy otwarte, a od 12 stycznia 2027 r. znikną opłaty za „wyjście”. Tyle iż przez lata przejściowe dostawcy dalej policzą „koszty faktycznie poniesione”, a „funkcjonalna równoważność” po migracji nie musi oznaczać, iż wszystko zadziała tak samo.
Interoperacyjność ma oprzeć się na standardach, które dopiero trzeba opracować – a jeżeli nie powstaną, Komisja przyjmie wspólne specyfikacje. Czyli najpierw rozporządzenie, potem dopiero szyny, po których ma pojechać cały ruch. Ochrona przed nielegalnym dostępem rządów państw trzecich też opiera się na „rozsądnych środkach” dostawców (szyfrowanie, audyty, certyfikacje) i zapowiadanych wytycznych – zanim nabiorą mocy, firmy i użytkownicy przez cały czas mogą poruszać się w szarej strefie niepewności.
Czytaj też: Halucynacje AI powodowane przez benchmarki? Tak twierdzi OpenAI
Krótkie podsumowanie. Akt o danych dobry, czy… zły?
Data Act to próba odwrócenia logiki rynku danych na korzyść użytkowników i mniejszych firm. Od 12 września 2025 r. dane generowane przez inteligentne urządzenia (IoT) mają być bliżej tych, którzy je współtworzą: producent ma jasno powiedzieć, co zbiera i jak często, a użytkownik ma dostać bezpłatny, prosty dostęp i możliwość przekazania danych wybranej firmie (np. serwisowi czy ubezpieczycielowi).
W chmurze ma być łatwiej zmienić dostawcę: otwarte interfejsy, eksport w powszechnych formatach, a od 12 stycznia 2027 r. czeka nas koniec opłat za „wyjście”. Między firmami mają obowiązywać sprawiedliwe, rozsądne i niedyskryminujące warunki udostępniania danych, a kontraktowe nieścisłości w obszarze danych będzie można podważyć jako nieuczciwe. Państwo z kolei zyska uregulowaną ścieżkę dostępu do danych tylko w wyjątkowej potrzebie, z ochroną tajemnic i zasadą „tylko raz” dla tych samych żądań.
To wszystko zadziała jednak (stety lub niestety) tak dobrze, jak praktyka wdrożenia. To producent przez cały czas decyduje o formacie i momencie udostępnienia, ma też do wykorzystania opcje „tajemnica przedsiębiorstwa” czy „bezpieczeństwo” i może dostęp zawiesić. Wtedy zaczyna się spór, który trzeba prowadzić przed krajowym organem. W B2B ładnie brzmi „uzasadniona rekompensata”, ale to pole do negocjacji (i sporów), podobnie jak też – nieuczciwych klauzul.
Przy dostępie administracji granice „wyjątkowej potrzeby” też doprecyzuje dopiero praktyka. W chmurze okres przejściowy oznacza, iż przez pewien czas dostawcy przez cały czas policzą faktyczne koszty migracji, a „funkcjonalna równoważność” nie gwarantuje wrażeń 1:1. Interoperacyjność zależy od standardów, które dopiero będą doszlifowane: zanim powstaną, rynek może żyć w lekkiej niepewności.
Co z tego wynika na dziś? Mniej sceptyczny obraz mówi: dostajesz realne prawa do danych z Twoich urządzeń, łatwiej wyjdziesz z chmury, a w umowach z większymi graczami masz wreszcie tarczę na „klauzule-pułapki”. Sceptyczny: przygotuj procesy i dowody zawczasu, bo to Ty będziesz musiał egzekwować te prawa.
Dlatego jeszcze przed wejściem przepisów: sprawdź, jakie dane Twoje urządzenia wytwarzają i w jakim formacie chcesz je odbierać: przejrzyj umowy pod kątem praw do danych i „klauzul nieuczciwych”, w chmurze zrób plan migracji i sprawdź eksport do wygodnych formatów. Natomiast w relacjach z administracją przygotuj procedurę obsługi ewentualnych żądań. Wtedy Data Act będzie bliżej realnego ułatwienia życia niż ładnej obietnicy na papierze.
Źródło zdjęcia tytułowego: Guillaume Périgois, Unsplash
